Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Ubuntu ограничит доступ к user namespace, opennews (??), 09-Окт-23, (0) [смотреть все] Может они когда-нибудь исправят ужасный suid , Аноним (2), 23:53 , 09-Окт-23, (2) –3 // зачем, не используй его и всё, swarus (ok), 00:13 , 10-Окт-23, (3) +5 // а ныть как , noc101 (ok), 04:32 , 11-Окт-23, (75) +1 Исправил, не благодари https www opennet ru openforum vsluhforumID3 131681 ht, Аноним (10), 05:46 , 10-Окт-23, (10) +4 Скрыто модератором, scriptkiddis (?), 00:53 , 10-Окт-23, (4) –7 Напомните, зачем гуглу этот доступ нужно оставлять , DeerFriend (?), 01:06 , 10-Окт-23, (5) +1 // Other applications, such as Google Chrome make use of namespaces to isolate its , Bob (??), 03:14 , 10-Окт-23, (6) Вкладки браузера изолируются через user namespaces Не только Хрому, но ещё Элект, Аноним (10), 05:56 , 10-Окт-23, (11) –1 // В чём я не прав Хоть бы аргументировали минусы, что ли Мне всё равно, а окружа, Аноним (71), 01:51 , 11-Окт-23, (71) +1 Дли шизоляции Чтобы Хромоног творил в системе, что хотел, just au planned , Аноним (22), 09:27 , 10-Окт-23, (22) +1 // Если вам не нравится изоляция одной вкладки от другой, то выключите это просто, Всем Анонимам Аноним (?), 12:04 , 10-Окт-23, (38) // А дело не нравится не нравится А в пропихивании всеми доступными и не очень с, yet another anonymous (?), 22:45 , 10-Окт-23, (68) Кто платит - того и ботинки, КО (?), 12:35 , 10-Окт-23, (47) Нерабочая схема, как работает эта хрень понятно двум с половиной анонам и всем , Аноним (9), 05:06 , 10-Окт-23, (9) // Так тебе понимать ничего и не надо Она просто будет через пару промежуточных ит, пох. (?), 09:02 , 10-Окт-23, (19) +1 // Короче, закуплю попкорна к релизу бубунты , Аноним (22), 09:25 , 10-Окт-23, (21) –1 Да забей на AppArmor Просто используй SELinux , Аноним (49), 13:15 , 10-Окт-23, (49) +2 Есть ли нечто подобное для SELinux Или это чисто решение выборочное ограничени, academiq (ok), 06:08 , 10-Окт-23, (12) +1   // Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать , Аноним (10), 06:17 , 10-Окт-23, (13) +1   // Поздравляю, после перехода в user ns - он снова разблокирован , пох. (?), 22:43 , 10-Окт-23, (67) +1   РТФМ setcap и https man7 org linux man-pages man7 capabilities 7 html, OpenEcho (?), 11:34 , 10-Окт-23, (29)   SELinux нужно перманентно отключать сразу после установки , Аноним (33), 11:43 , 10-Окт-23, (33) –5   // нужно просто перекомпилить ядро с отключенной опцией MULTIUSER Тогда в линуксе , Аноним (44), 12:23 , 10-Окт-23, (44) +4   // Анонимус научился выполнять menuconfig Как мило , Пряник (?), 11:39 , 17-Окт-23, (79)   напишешь - будет правда в targeted mode та еще затея - впрочем, убунта вон спр, пох. (?), 13:45 , 10-Окт-23, (51) –2   К чему эти нежности Нужно просто запретить пользователю включать компьютер , Аноним (18), 09:02 , 10-Окт-23, (18) // Здрасти А как же управлять тогда толпой Так долго боролись чтоб мыши сами опл, OpenEcho (?), 11:36 , 10-Окт-23, (30) думаю, речь идёт об kernel unprivileged_userns_clone, который во всех нормальных, onanim (?), 09:18 , 10-Окт-23, (20) // Как раз, наоборот Включен по умолчанию Отключен только на hardened-ядрах и в н, Аноним (10), 10:13 , 10-Окт-23, (24) +2 // Ну всё понятно, Убунту под предлогом безопасности упрощает жизнь малвари Видн, Аноним (27), 10:39 , 10-Окт-23, (27) –3 Во-первых, это устаревший sysctl Во-вторых, его никогда не было в ядре Это вас, Аноним (44), 11:19 , 10-Окт-23, (28) // Нет Особого значения не имеет, так как речь идет об убунте, которая практически , Аноним (52), 13:46 , 10-Окт-23, (52) –1 // Читай доки своего любимого дебьяна например If you prefer to keep this featu, Аноним (44), 14:08 , 10-Окт-23, (55) Короче, линукс идёт дорогой андроида - всё больше огораживаний Лет через пять о, Аноним (23), 09:44 , 10-Окт-23, (23) +2 // На десктопах уже давно sudo usermod -aG admin,wheel USERsudo passwd -l root , Аноним (10), 10:17 , 10-Окт-23, (25) // И как в этой ситуации обходите нажмите Ctrl-D или введите пароль root Или у , Anonim (??), 10:22 , 10-Окт-23, (26) // а действительно, как , И это очень хороший вопрос (?), 17:41 , 10-Окт-23, (57) Да просто - переустановил винд э линoops и живет дальше , пох. (?), 19:07 , 10-Окт-23, (58) За 15 лет свой Арч только один раз переустанавливал, когда сносил дуалбут с Винд, Аноним (71), 02:19 , 11-Окт-23, (74) Забыл ещё в etc sudoers , d проверить наличие wheel ALL ALL ALL ALL Есл, Аноним (71), 02:15 , 11-Окт-23, (73) Скоро закроют всё кроме home username и sudo запретят , Аноним (33), 11:42 , 10-Окт-23, (32) // Уже Fedora Silverblue, Vanilla OS, Endless OS, и Ubuntu GNOME через 4 релиза , pic (?), 11:55 , 10-Окт-23, (35) Какого шлака только не понапридумывали лишь бы не использовать стандартные права, Аноним (33), 11:40 , 10-Окт-23, (31) // Какого шлака только не понапридумывали лишь бы не использовать MS-DOS где можно , Аноним (44), 11:53 , 10-Окт-23, (34) +1 // Я бы с удовольствием использовал MS-DOS если бы это было уместно в нынешних реал, Аноним (33), 11:57 , 10-Окт-23, (36) +1 // Я бы с удовольствием использовал стандартные права на запись,чтение,исполнение ф, Аноним (44), 11:58 , 10-Окт-23, (37) –1 повысить безопасность позволит выпиливание к хренам контейнеров, 12yoexpert (ok), 12:05 , 10-Окт-23, (40) +3 Вместо полной блокировки доступа к user namespace в Ubuntu применена гибридная , Kuromi (ok), 16:06 , 10-Окт-23, (56) // эти некоторые программы и есть - фуфлофокс, хромоног, нода и весь остальной вася, пох. (?), 20:07 , 10-Окт-23, (60) // И что Разработчики браузера используют максимум фич им доступных, почему бы и н, Kuromi (ok), 20:22 , 10-Окт-23, (61) // ну вот потому что конкретно эта фича - чревата внезапно-рутом Который через нее, пох. (?), 20:27 , 10-Окт-23, (62) Конкретно эта не особо, механизм изоляции работает таким образом, что получить д, Аноним (27), 20:41 , 10-Окт-23, (63) так весь фокус в том что в неймспейсе у тебя сброшены в смысле - в исходное сос, пох. (?), 20:56 , 10-Окт-23, (64) Так это значит, что уже есть возможность исполнять произвольный код и создавать , Аноним (27), 21:25 , 10-Окт-23, (65) ну да А от кого же мы еще защищаемся-то в браузере да, привет У него уже и так, пох. (?), 22:41 , 10-Окт-23, (66) Действительно, настойчивое проталкивание wayland-only --- с доступом к GPU и око, yet another anonymous (?), 22:58 , 10-Окт-23, (69) Так у кода в браузере есть только возможность исполнять жс вебассембли, это не т, Аноним (27), 00:16 , 11-Окт-23, (70) https github com containers bubblewrap blob main bubblewrap c, Аноним (71), 01:58 , 11-Окт-23, (72) 2,5,9,12,18,20,23,31,40,56

Сообщения

[Сортировка по времени | RSS]

12. "Ubuntu ограничит доступ к user namespace"	+1 +/–
Сообщение от academiq (ok), 10-Окт-23, 06:08
Есть ли нечто подобное для SELinux? Или это чисто решение (выборочное ограничение user namespace) для AppArmor?
Ответить | Правка | Наверх | Cообщить модератору

	13. "Ubuntu ограничит доступ к user namespace"	+1 +/–
	Сообщение от Аноним (10), 10-Окт-23, 06:17
	Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Ubuntu ограничит доступ к user namespace"	+1 +/–
	Сообщение от пох. (?), 10-Окт-23, 22:43
	> Ну, CAP_SYS_ADMIN должно быть можно выборочно заблокировать. Поздравляю, после перехода в user ns - он снова разблокирован.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от OpenEcho (?), 10-Окт-23, 11:34
	РТФМ setcap и https://man7.org/linux/man-pages/man7/capabilities.7.html
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	33. "Ubuntu ограничит доступ к user namespace"	–5 +/–
	Сообщение от Аноним (33), 10-Окт-23, 11:43
	> Есть ли нечто подобное для SELinux? SELinux нужно перманентно отключать сразу после установки.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	44. "Ubuntu ограничит доступ к user namespace"	+4 +/–
	Сообщение от Аноним (44), 10-Окт-23, 12:23
	нужно просто перекомпилить ядро с отключенной опцией MULTIUSER. Тогда в линуксе кроме рута ничего не будет, совсем как в MS-DOS!
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Ubuntu ограничит доступ к user namespace"	+/–
	Сообщение от Пряник (?), 17-Окт-23, 11:39
	Анонимус научился выполнять menuconfig. Как мило!
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Ubuntu ограничит доступ к user namespace"	–2 +/–
	Сообщение от пох. (?), 10-Окт-23, 13:45
	> Есть ли нечто подобное для SELinux? напишешь - будет. (правда в targeted mode та еще затея - впрочем, убунта вон справилась) > Или это чисто решение (выборочное ограничение user namespace) для AppArmor? убунта написала политику - для apparmor (кстати, возможно в первый раз оказалось что хоть что-то для этой системы сделать проще чем для selinux) тебе никто конечно не мешает сделать для selinux, но ты не сумеешь.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема